Privacy e Regolamento UE – GDPR, disponibili un software e un ‘tutorial’ per la valutazione di impatto sulla protezione dei dati (DPIA)

In previsione dell’entrata in vigore del nuovo Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) che avverrà il prossimo 25 maggio.

Il Garante: “Nessun rinvio delle funzioni ispettive e sanzionatorie”.

il Garante per la protezione dei dati personali – con Doc.Web 8581268 – ha annunciato la messa a disposizione di un software di ausilio ai titolari in vista della effettuazione della ‘Valutazione d’impatto sulla protezione dei dati’ (DPIA – Data Protection Impact Assessment).

Il software, elaborato dalla CNIL, l’Autorità francese per la protezione dei dati, – gratuito e liberamente scaricabile dal sito https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.
La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.
Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell’esperienza raccolta e delle segnalazioni degli utenti.

Importante
Il software presentato – precisa il Garante della privacy – NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d’impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che va integrata in ragione delle tipologie di trattamento esaminate.

E’ inoltre bene ricordare che la valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

Istruzioni per l’installazione
Una volta aperta la pagina,  scorrere fino al titolo “Version portable” e selezionare il tipo di sistema operativo installato sul proprio computer.
Una volta scaricato il software, lanciare l’installazione che sarà effettuata automaticamente nella versione in lingua italiana.

Il tutorial del Garante
Per approfondimenti, è disponibile anche un breve tutorial realizzato dal Garante italiano:
video (disponibile sulla pagina Youtube dell’Autorità);
slide (formato .pdf).

Garante privacy: nessuna pronuncia su differimento applicazione sanzioni
Intanto, il Garante ha smentito qualsiasi voce, in giro si internet, riguardante la eventualità di un differimento dello svolgimento delle sue funzioni ispettive e sanzionatorie.

In una nota pubblicata sul sito istituzionale (Doc-Web: 8469593) si legge, infatti: «Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia.
Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018».

**********

Approfondimento

CHE COS’È LA “DPIA” (o “Valutazione di impatto sulla protezione dei dati”)
La “DPIA” è una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (RGDP) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

Perché?
La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.

In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.

In che momento?
La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.

Chi?
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo – se i trattamenti lo richiedono – il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer , CISO).

Quando la DPIA è obbligatoria?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
–  trattamenti valutativi o di scoring, compresa la profilazione;
– decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
– monitoraggio sistematico (es: videosorveglianza);
– trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
– trattamenti di dati personali su larga scala;
– combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
– dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
– utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
– trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze – il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.

Quando la DPIA non è obbligatoria?
Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:
– non presentano rischio elevato per diritti e libertà delle persone fisiche;
– hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
– sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
– sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
– fanno riferimento a norme e regolamenti, Ue o di uno Stato membro, per la cui definizione è stata condotta una DPIA.